Bring Your Own Device – parte 4 (dal webminar che ho tenuto per (ISC)2)

Tutto è in evoluzione….

image

Visto che tanto si parla di BYOD ma il supporto numerico spesso latita vediamo cosa è successo in termini di personal computing negli ultimi 10 anni. Risulta evidente come ci si presenti una situazione in cui i paradigmi sw e hw sono profondamente cambiati in termini di uso. Guardando ai sistemi operativi, ad esempio, si vede come una volta il mercato parlasse esclusivamente microsoft e in quota minore linux, mentre gli ultimi anni hanno visto una situazione dove almeno 4 sono i sistemi operativi di riferimento: mac OX iOS Windows e Android, con una presenza marginale di linux.

La inter-comunicabilità applicativa è stata gestita, come vediamo nella evoluzione dei trend software, da uno spostamento verso mobile application e cloud (SaaS) cosi come lo shifting delle interfacce verso multitouch e cosi via.

image

 

risulta estremamente chiaro dalla tabella presente come si siano evolute le interfacce e l’HW. Un tale movimento ha, nei fatti, ribaltato i paradigmi in uso negli anni 90. e form factor, interfacce, HW OS e Software sono estremamente diversi da quello che appariva in uso 20 anni fa, quanto sia cambiata la impostazione del disegno di una rete e dei suoi elementi costitutivi è tuttavia ancora oggi oggetto di dibattito: vi sono IT manager che non ritengono questi cambi tali da giustificare un diverso approccio alla rete mentre altri stanno abbracciando il nuovo ma con la sconsolante evidenza di ancora pochi riferimenti tecnici e culturali.

image

Volenti o nolenti comunque oggi il set standard di riferimento di un utilizzatore aziendale medio è portatile aziendale (circa il 100%) + telefono (50% personale 50% aziendale) + tablet personale (circa il 90/100% personale).

Possiamo fare finta che tutto sia fermo agli anni 90 ma nei fatti il mondo è profondamente diverso, vuoi per adesione alle mode, per necessità operative o finanziarie.

Del resto il mondo della tecnologia, non me ne vogliano i tecnici, è sempre stato guidato più da scelte marketing che da effettivi ed oggettivi riscontri tecnici, e il ritornare di tecnologie ed approcci ciclicamente nei nostri percorsi tecnologici ne è una evidenza.

image

Il punto focale è che lo spostamento che stiamo osservando oggi nei nostri modi di usare la tecnologia è sempre più orientato alla intercambiabilità.

Non importa il device, ma facciamo le stesse cose con tutti….. (insomma più o meno, io fartdroid non lo ho…sul portatile)

Questo uso si riflette, ovviamente, sulle statistiche di accesso ai dati e applicazioni aziendali.

Questi dati possono essere facilmente relazionati alle statistiche di outbreak delle policy aziendali: tanto più queste sono chiuse e costrittive tanto più gli utenti cercano scappatoie che consentano a loro di continuare ad essere produttivi anche in arre NON considerate dalla struttura aziendaleIT

image

si noti come  la presenza di device personali si sia allargata in solo un anno. Paesi più restii ad abbracciare le novità, ed a fornire nuovi devices ai propri utenti, come l’italia, vedono impatti di crescita ancora maggiori: se l’azienda non fornisce device “attuali” l’utente li sostituisce con i propri indipendentemente dai desiderata aziendali.

Questo fatto di per se non è ne positivo ne negativo, soppesare pro e contro e fare una corretta analisi economica è, a tutti gli effetti, il lavoro di un CSO e di un IT manager. L’introduzione, ad esempio, di device non aziendali potrebbe essere fonte di notevoli risparmi in termini di gestione ed acquisto, a patto di avere una struttura che sposti le competenze sulla sicurezza mobile e sulla sicurezza applicative, piuttosto che sul primo livello di supporto HW per il pc con immagine standard.

Che lo si voglia o meno comunque il trend è questo, e occorre reagire alla introduzione di questi oggetti all’interno della nostra vita lavorativa, cosa che ha costretto molti vertical ad adottare politiche di accettazione dei device personali, anche in feudi tradizionalmente restii, si veda il financial.

Non ci si lasci traviare però dai numeri, le statistiche ci dicono si che il financial è stato più reattivo, ma il motivo è semplicemente che gli altri settori sono meno reattivi e più laschi riguardo l’introduzione ufficiale di tali device rispetto un ambito ove la security è sempre stata considerata cardine, si pensi che al giorno d’oggi il 100% delle transazioni finanziarie avviene in forma telematica e si capisce la paranoia.image

Purtroppo la storica mancanza di sviluppo di modelli di gestione ed integrazione della sicurezza dei device mobili ha esasperato l’uso di vecchie piattaforme di sicurezza ed amministrazione portandole a deliranti, quanto attuali, realtà come descritto bene in questo grafico ove si vede che i più attenti hanno introdotto la bellezza di oltre 10000 regole, policy di gestione, per il BYOD.

image

Forse non è noto ai più ma uno dei primi cardini della gestione e della sicurezza è l’approccio Kiss «keep it simple stupid», maggiore è la complessità minore è la capacità della struttura di reagire agli eventi in maniera sia reattiva che proattiva; chiedete poi ai disgraziati che si occupano di forensic analisys cosa gli tocca fare per capire in quale ambiente stanno operando.

Ultimamente vanno di moda un sacco di surveystatistiche inerenti il BYOD, questo è un esempio vi riconoscete?

Si noti come in queste risposte si evinca la mancanza di un quadro generale e coerente, in cui management, sicurezza ed accesso ai flussi informativi non sembrano far parte dello stesso nucleo operativo…

image

Il paradosso è che, come abbiamo visto dall’escursus storico, molte delle problematiche sono presenti sin dagli anni 80, e dopo oltre un trentennio vengono alla luce come se fossero nuove.

image

Per affrontare correttamente la introduzione e gesione del BYOD occore fermarsi un attimo e pensare a come si sta gestendo il piu generale discorso mobile in azienda. Magari organizzandoci con una tabella di raffronto.vantaggisvantaggi:

Vantaggi Svantaggi
Piace agli utenti Non piace all’ IT
Aumenta la produttività Aumenta la complessità gestionale
Espande il perimetro lavorativo Aumenta la superfice di rischio
Rende più flessibili Rende più flessibili
È cool Non posso standardizzare
Permette risparmi operativi di gestione IT Non riesco a giustificare porzioni di budget
Permette risparmi in termini di supporto Comunque gli utenti mi chiamano

Quando cerchiamo di fare una tabella di vantaggi e svantaggi dovremmo cercare di vedere i diversi punti di vista. Talvolta una maggiore complessità operativa per l’IT significa realmente un vantaggio all’utenza, talvolta il voler porre regole di controllo da come risultato solo la costante violazione di queste ultime. Il vecchio esercizio dei buoni e cattivi è in questo senso estremamente utile e serve, si noti, non a decidere se il BYOD è un fenomeno da arrestare, ma a capire come gestirlo. Ognuno di questi punti di esempio, pro o contro, possono essere l’inizio di un lavoro di design della introduzione di byod che permetta la soddisfazione degli utenti e magari una semplificazione operativa, purtroppo occorre che facciano parte del gioco tutti i player, gli utilizzatori, l’IT ma anche chi decide regole aziendali (management e HR) in quanto l’attenzione ai flussi informativi, alle regole della privacy non sono più secondarie anche dal punto di vista legislativo.

Mobile BYOD
Compro il device Si No
Gestisco il device Si No
Location control No No
Network (IP) Rules Si No
Privilegi Amministrativi No No
Controllo Identità No No
UsernamePassword Si No
Network Access Control No No
Application Access Control No No
AntivirusAntimalware Si No
Application Store Management No No

Una altra cosa utile da fare è mettersi a tavolino per fare un elenco di cosa si dovrebbe fare e cosa si fa per gestire sia l’attuale parco mobile che la sua evoluzione BYOD. Ci si rende di solito subito conto che spesso richieste imposte al BYOD non vengono attese neanche nel classico mondo mobile.

Classici esempi sono la gestione dei diritti amministrativi (quasi tutti i laptop sono con diritti amministrativi presenti), la mancanza di Application Access Control e la mancanza di identity management.

Mobile BYOD
Data Protection (DLP) No No
Data Encryption Si No
Data Location control No No
Geo IP Rules No No
Policy su furto Si (parziali) No
Istruzione No No
Segregazione Reti Wireless Si Si

esiste poi una evidente esigenza di inventory ed una analisi da fare eventualmente col vendorprovider per quello che concerne le licenze.

Queste ultime infatti rappresentano una area ancora abbastanza oscura, non esistendo ancora vere e proprie licenze BYOD al momento a parte i cloud services (magari con identità gestite via Saml) , rimane il dubbio di come gestire e registrare a norma applicativi che seppur acquistati da un soggetto vengono installati su un apparato di propietà di soggetti terzi.

da analizzare anche con attenzione sono le possibili implicazioni legali che possono sorgere in caso di infezionehacking o sospetto di uso improprio delle risorse aziendali (ma lo sono?)

in questo caso il consiglio è quello di rivolgersi ad una struttura legale specializzata nelle problematiche IT (interna od esterna all’azienda) per chiedere la stesura di una “liberatoria” che consenta in funzione di regole ben definite di determinare quali sono i limiti di accesso e di uso che l’azienda ha nei confronti del device personale del dipendente e, vicerversa, quali sono vincoli e limiti di accesso che ha l’utente ne portare tale device in rete.

La questione è solo apparentemente accademica, per quanto lasche confuse e talvolta deliranti esistono ovunque, anche in Italia, normative cui fare riferimento. esistono vincoli di responsabilità ad esempio da parte della azienda se dalla sua struttura parte un attaccoinfezione verso un altra, tanto per citare uno degli obblighi da valutare.

image

image

image

Antonio Ieranò
CSO, Cyber Security Architect, technical evangelist, consultant, writer, journalist and trainer
I am a Security Manager and architect, CSO, BDM, marketing specialist, and tech evangelist with over 20 years of experience serving as a community liaison, subject matter expert, and high-profile trainer for key technologies and solutions. My experience includes acting as the public face of Huawei technology and before Cisco security technologies; leading pan-European technical teams in development of new Cisco security products; and serving as a key public speaker and trainer on behalf of new high-tech products. My expertise spans IT development and implementation, marketing strategy, legal issues, and budget / financial management.

Specialties and Executive Expertise
IT Strategy, Technical Audits, Enterprise Architecture & Applications, Technical Sales Liaison, Solution Architecture, Network Design, Architecture, & Security, Vulnerability Assessment & Management, Systems Engineering, Data Privacy, Cloud Computing, Marketing Strategy, Budget Management, Social Media Marketing, High-Impact Presentations,incident handling, Forensics, Italian companies, Authentication, Infrastructure security, Security manager, Security issues, Attacks, Security infrastructure, Data encryption

Security and Technical Advisoring
Project Management
Business Development and Marketing

To the official site of Related Posts via Taxonomies.

CC BY-NC-SA 4.0 Bring Your Own Device – parte 4 (dal webminar che ho tenuto per (ISC)2) by The Puchi Herald Magazine is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.